Een vrouw die achter haar laptop zit en kijkt naar een slot.

Cyberhygiëne, onderdeel van een clean securitybeleid

Een veilig jaar zonder hackpogingen en ransomware aanvallen? Het lijkt te mooi om waar te zijn, en dat is het helaas ook. De realiteit is dat bijna iedere organisatie of particulier wel eens te maken heeft (gehad) met cybercriminaliteit en dat zal in 2024 niet anders zijn. Of je nu een ‘huis-tuin-en-keukengebruiker’ of een kleine middenstander bent, bij een grote organisatie of internationaal bedrijf werkt, niemand blijft buiten schot. Je kan nog zo alert zijn, één keer op een foute link klikken en het leed is geleden. Bestanden worden versleuteld en servers platgelegd, alle slimme technologische beveiligingsmaatregelen en security awareness trainingen ten spijt.

Ontwikkelingen cybercriminaliteit

Ransomware is nog steeds dé manier voor cybercriminelen om inkomsten te genereren.

Daarnaast zijn social engineering en phising belangrijke bronnen van informatie voor potentiële hackers. In 2023 zagen we een toename van supply-chain aanvallen en misbruik van kwetsbaarheden in third-party software of hardwarecomponenten. Maar ook kwaadwillende (ex-) medewerkers, die gemotiveerd door onvrede of financieel gewin overgaan tot bedrijfsspionage, vormen een risico. De ontwikkelingen op het gebied van Artificial Intelligence (AI) en machine learning maken aanvallen steeds geavanceerder en worden dan ook volop ingezet door cybercriminelen (bijvoorbeeld deepfake CEO-scams). Tel daarbij het tekort aan gekwalificeerd IT- en securitypersoneel op en de uitkomst is dat bedrijven steeds moeilijker of niet tijdig kunnen reageren op bedreigingen.

Bescherming

Uiteraard wordt er nagedacht over beveiligingsmaatregelen, procedures en bescherming van soft- en hardware. Er worden oplossingen geïmplementeerd en het bewustzijn van medewerkers wordt verhoogd door trainingen. Maar waarom gaat het dan toch nog mis? De realiteit is dat cybercriminelen meer tijd en geld hebben dan een gemiddeld bedrijf (of zelfs een bedrijfstak) om hun tactieken en middelen aan te passen aan gebeurtenissen en ontwikkelingen op politiek, economisch, technisch en maatschappelijk gebied. Doordat bedrijven afhankelijk zijn van beleid, budget, prioriteiten en inzicht, wordt de focus verlegd naar een bijna niet te winnen ‘wapenwedloop’ en verliest men de basismaatregelen uit het oog. Het toepassen van cyberhygiëne is in dat geval een essentiële eerste stap.

Cyberhygiëne

Definitie cyberhygiëne:

Een verwijzing naar geïmplementeerde, terugkerende en repeterende handelingen met als doel gevoelige data en infrastructuren te beschermen tegen ongeautoriseerde toegang, systemen te onderhouden en online beveiliging te verbeteren.

Alle (toekomstige) kwetsbaarheden en misbruik voorkomen is onmogelijk, maar er zijn wel degelijk maatregelen die schade kunnen afwenden, vertragen of minimaliseren. Cyberhygiëne kan worden vergeleken met goed onderhoud; het zijn vaak terugkerende handelingen die schade, hoge kosten en waardedaling helpen voorkomen. De term is misschien wat misleidend, want cyberhygiëne omvat meer dan alleen IT. Ook documentatie, processen, procedures, trainingen en menselijk handelen maken er deel van uit.

Voordelen cyberhygiëne

Het uitvoeren van cyberhygiëne heeft grote voordelen:

  • Vermindert risico’s op en gevolgen van cyberaanvallen;
  • Verhoogt klantvertrouwen;
  • Vermindert kosten en uitval systemen/services;
  • Verbetert algemeen beveiligingsniveau;
  • Vermindert kans op datalekken en -verlies;
  • Verhoogt productiviteit en efficiency door vermindering ongeplande onderbrekingen en bijkomende kosten als gevolg van cyberaanvallen.

Door de focus te leggen op cyberhygiëne en regelmatig terugkerende ‘eenvoudige’ handelingen te implementeren in het securitybeleid, wordt de fundering van beveiliging verstevigd en kan erop worden uitgebouwd.

Aandachtsgebieden

Waar moet je bij cyberhygiëne aan denken? Alle onderdelen van het bedrijfsproces zijn belangrijk, maar de meest voorkomende problemen liggen op het gebied van soft- en hardware en online applicaties. De volgende onderdelen zijn gerelateerd aan recente cyberaanvallen en verdienen daarom extra aandacht.

Assetmanagement (CMDB)

Laten we beginnen bij de basis. “You can’t secure what you don’t know exists”, een actuele en accurate inventarisatie is cruciaal. Risico, security, continuity, incident, change en compliance management zijn hiervan afhankelijk. Bij een ernstige kwetsbaarheid of incident wil je niet onnodig tijd verliezen om te achterhalen of bepaalde soft- of hardware aanwezig is. Daarom moet er een CMDB zijn ingericht, die regelmatig wordt bijgewerkt. Hierin kan worden vastgelegd:

  • Diensten, producten en ondersteunende bedrijfsmiddelen;
  • Informatie over licenties, soft- en hardware versies, certificaten en leveranciers.

Maak het bijhouden/bijwerken van de CMDB een vast onderdeel van change- en projectmanagement en voer regelmatig een netwerk- en assetscan uit, die je vergelijkt met informatie uit de CMDB.

Schaduw-IT

Een belangrijke oorzaak van het (opzettelijk) niet volgen van het informatiebeveiligingsbeleid en een verhoogd risico op misbruik door hackers, datalekken of malware is een schaduw-IT. Door assetmanagement toe te passen kunnen deze apparaten of diensten vroegtijdig worden gedetecteerd en gepaste acties worden ondernomen.

Passwordmanagement

Een noodzakelijk onderdeel van ieder securitybeleid. Om te voorkomen dat men zwakke wachtwoorden (her)gebruikt, deelt met derden of niet tijdig vernieuwt, moet je:

  • Een betrouwbare passwordmanager inzetten, die een sterk en uniek wachtwoord geneert. Voor bedrijfkritische omgevingen is verdere versterking in de vorm van MFA (Multi Factor Authentication) zeer aan te bevelen;
  • Standaard wachtwoorden direct wijzigen bij installatie/ingebruikname van software of diensten.

Identity and accessmanagement (IAM)

Naast passwordmanagement moet ook gekeken worden naar het principe van ‘least privilege’.

  • Geen administratorrechten voor reguliere accounts. Geef beheerders een apart account met hogere wachtwoordcomplexiteit, evt. i.c.m. een passwordmanager, extra logging en MFA;
  • Controleer autorisatie van administratorrechten. Soms worden tijdelijke rechten niet verwijderd of aangepast. Bijv. na wisseling van functie of na installatie of migraties;
  • Controleer of applicaties zonder administratorrechten kunnen functioneren. Applicaties worden vaak met administratorrechten geïnstalleerd, omdat er systeemaanpassingen nodig zijn. Zorg dat deze rechten tijdelijk zijn of dat kan worden volstaan met extra permissies op bepaalde folders/bestanden.

Back-up

Bedrijfsdata veilig bewaren door regelmatige back-ups is bijna vanzelfsprekend, maar ook hier zijn punten die extra aandacht verdienen.

  • Controleer bij veranderingen altijd of back-up voor nieuwe of gewijzigde bedrijfsmiddelen (incl. data) is meegenomen;
  • Vervang handmatige back-up door automatische back-up tooling;
  • Controleer of back-ups naar Cloud-omgevingen voldoende beveiligd zijn tegen ongeautoriseerde wijzigingen/toegang en overweeg encryptie;
  • Controleer regelmatig of back-ups gebruikt kunnen worden voor herstel, zowel op bestandsniveau als voor systemen/applicaties.

Patchmanagement

Microsoft heeft ‘Patch Tuesday’, de dag dat (security) patches worden uitgebracht. Andere leveranciers werken hun systemen door tijdgebrek of afwijkende prioriteiten onregelmatiger en soms zelfs te laat bij. Er zit verschil tussen systemen/omgevingen die intern of via internet te bereiken zijn.

  • Bepaal met een BIA wat bedrijfkritische systemen/omgevingen zijn;
  • Maak een planning gericht op verschillende soft- en hardware onderdelen (data in CMDB) en stem deze af met verantwoordelijken van de bedrijfsprocessen;
  • Zorg voor een beschreven en getest ‘emergency patch process’ voor een adequate reactie bij incidenten;
  • Vervang of verwijder verouderde software tijdig.

Supply-chain

Bedrijven nemen, als onderdeel van (complexe) bedrijfsprocessen, diensten af bij leveranciers. De organisatie is verantwoordelijk voor de kwaliteit van haar producten/diensten, maar het zicht op beveiligingsmaatregelen bij externe partijen is beperkt. Daarom zijn afspraken nodig.

  • Controleer ondersteuningsafspraken (leveringen, tijden, noodnummers, contactpersonen);
  • Inventariseer welke soft- en hardware door de leverancier wordt beheerd. Bepaal a.d.h.v. risicoanalyses of dit gescheiden of onderdeel van het bedrijfsnetwerk moet zijn en tref aanvullende maatregelen;
  • Controleer afspraken in het geval van incidenten. Wie informeert wie, wanneer, hoe en wat zijn de verantwoordelijkheden en bevoegdheden?

Door er objectief naar te kijken, kan beoordeeld worden of voornoemde punten van toepassing zijn op de eigen organisatie en hoe cyberhygiëne kan helpen de beveiliging te verbeteren.

Hulp nodig op het gebied van informatiebeveiliging of andere vragen over security binnen jouw organisatie? Neem contact met ons op en ontdek de meerwaarde van Ventus.